このセクションでは、新しい NSX Advanced Load Balancer サービス エンジンでハードウェア セキュリティ モジュール (HSM) およびサイドバンド (ASM) 通信専用インターフェイスを構成する方法について説明します。NSX Advanced Load Balancer サービス エンジンでの HSM およびサイドバンドの専用インターフェイスは、次の構成パラメータを使用します。新しい SE の場合、これらのパラメータは Day-0 の YAML ファイルで指定できます。
YAML パラメータ
-
HSM パラメータ
ASM パラメータYAML パラメータ
説明
形式
Example
avi.hsm-ip.SE
SE 上の専用 HSM vNIC の IP アドレス(これは HSM デバイスの IP アドレスではありません)
IP アドレス/サブネット マスク
avi.hsm-ip.SE: 10.160.103.227/24
avi.hsm-static-routes.SE
HSM デバイスにアクセスするためのカンマ区切りのスタティック ルート。/32 ルートも指定できます。
注:スタティック ルートが 1 つの場合は、同じルートを指定し、角括弧が一致している必要があります。また、HSM デバイスが専用インターフェイスと同じサブネットにある場合は、ゲートウェイをサブネットのデフォルト ゲートウェイとして指定します。
[ hsm network1/mask1 via gateway1, hsm network2/mask2 via gateway2 ] または [ hsm network1/mask1 via gateway1 ]
avi.hsm-static-routes.SE:[ 10.128.1.0/24 via 10.160.103.1, 10.128.2.0/24 via 10.160.103.2]
avi.hsm-vnic-id.SE
専用 HSM vNIC の ID で、CSP では通常 3 になります(vNIC0 は管理インターフェイス、vNIC1 はデータイン インターフェイス、vNIC2 はデータアウト インターフェイス)
数値の vNIC ID
avi.hsm-vnic-id.SE: '3'
YAML パラメータ |
説明 |
形式 |
Example |
avi.asm-ip.SE |
SE 上の専用 ASM vNIC の IP アドレス(これは ASM の IP アドレスではありません) |
IP アドレス/サブネット マスク |
avi.asm-ip.SE: 10.160.103.227/24 |
avi.hsm-static-routes.SE |
ASM デバイスにアクセスするためのカンマ区切りのスタティック ルート。/32 ルートも指定できます。ゲートウェイは ASM デバイスのセルフ IP です。
注:
スタティック ルートが 1 つの場合は、同じルートを指定し、角括弧が一致している必要があります。また、ASM 仮想サービス IP が専用インターフェイスと同じサブネットにある場合は、ゲートウェイをサブネットのデフォルト ゲートウェイとして指定します。 |
[ asm-vip-network1/mask1 via gateway1, asm-vip-network2/mask2 via gateway2 ] または [ asm-vip-network1/mask1 via gateway1 ] |
avi.asm-static-routes.SE: [169.254.1.0/24 via 10.160.102.1, 169.254.2.0/24 via 10.160.102.2] |
avi.asm-vnic-id.SE |
専用 ASM vNIC の ID で、通常 CSP では 3 になります(vNIC0 は管理インターフェイス、vNIC1 はデータイン インターフェイス、vNIC2 はデータアウト インターフェイス) |
数値の vNIC ID |
avi.asm-vnic-id.SE: '3' |
構成
Cisco CSP の Day-0 構成用のサンプル サービス エンジン YAML ファイルは、次のようになります。
bash# cat avi_meta_data_dedicated_asm_hsm_SE.yml avi.mgmt-ip.SE: "10.128.2.18" avi.mgmt-mask.SE: "255.255.255.0" avi.default-gw.SE: "10.128.2.1" AVICNTRL: "10.10.22.50" AVICNTRL_AUTHTOKEN: “febab55d-995a-4523-8492-f798520d4515” avi.hsm-ip.SE: 10.160.103.227/24 avi.hsm-static-routes.SE:[ 10.128.1.0/24 via 10.160.103.1, 10.128.2.0/24 via 10.160.103.2] avi.hsm-vnic-id.SE: '3' avi.asm-vnic-id.SE: ‘4' avi.asm-static-routes.SE: [169.254.1.0/24 via 10.160.102.1, 169.254.2.0/24 via 10.160.102.2] avi.asm-ip.SE: 10.160.102.227/24
この Day-0 構成で SE が作成され、適切な仮想 NIC インターフェイスが CSP の SE サービス インスタンスに追加されたら、専用 vNIC 構成が正常に適用され、HSM デバイスと ASM 仮想サービス IP に専用インターフェイスを介してアクセスできることを確認します。このサンプル構成では、インターフェイス eth3 が IP 10.160.103.227/24 の専用 HSM インターフェイスとして構成され、インターフェイス eth4 が IP 10.160.102.227/24 のサイドバンド ASM インターフェイスとして構成されています。
NSX Advanced Load Balancer サービス エンジンでは、この構成に 5 つのインターフェイスが必要です。
vNIC0:管理インターフェイス
vNIC1:データイン インターフェイス
vNIC2:データアウト インターフェイス
vNIC3:専用 HSM インターフェイス
vNIC4:専用サイドバンド インターフェイス
両方の専用インターフェイスの構成を確認するには、NSX Advanced Load Balancer SE IP に SSH 接続し、ip route コマンドを実行して ping テストを実行します。
bash# ssh [email protected] bash# ifconfig eth3 eth3 Link encap:Ethernet HWaddr 02:6a:80:02:11:05 inet addr:10.160.103.227 Bcast:10.160.103.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:4454601 errors:0 dropped:1987 overruns:0 frame:0 TX packets:4510346 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:672683711 (672.6 MB) TX bytes:875329395 (875.3 MB)
bash# ip route default via 10.10.2.1 dev eth0 10.10.1.0/24 via 10.160.103.1 dev eth3 10.10.2.0/24 via 10.160.103.2 dev eth3 10.10.2.0/24 dev eth0 proto kernel scope link src 10.128.2.27 10.160.103.0/24 dev eth3 proto kernel scope link src 10.160.103.227 bash# ping -I eth3 <HSM-IP> ping -I eth3 10.10.1.51 PING 10.10.1.51 (10.128.1.51) from 10.160.103.227 eth3: 56(84) bytes of data. 64 bytes from 10.10.1.51: icmp_seq=1 ttl=62 time=0.229 ms
